Protection d'un disque dur externe par mot de passe
13 réponses
Lionel Mychkine
Est-il possible de protéger par mot de passe un disque dur externe
servant de sauvegarde, en tenant compte du fait que le disque sera
partitionné. Le mot de passe et le cryptage événtuel devraient être
compatibles avec un logiciel de sauvegarde comme SuperDuper! que
j'utilise.
Le Thu, 11 Oct 2012 13:28:55 +0200, Paul Gaborit écrivait :
À (at) Thu, 11 Oct 2012 11:34:41 +0200, (Gerald) écrivait (wrote):
Paul Gaborit wrote:
Un mot de passe, c'est comme une capote : si on le partage, il n'y a plus de protection.
Se méfier des analogies. Tu as bien plusieurs clés à ton appartement, réparties entre les différents membres de ta famille ou utilisateurs éventuels. Certes ça démultiplie de fait les risques de vols de clés, de pertes, de copie éventuelle par une femme de ménage indélicate, mais ça ne remet pas en cause la qualité de ta serrure ni de la protection qu'elle offre "en soi". L'analogie resterait pertinente avec des clés de voiture (ou un système d'anti-démarrage "x"). Avoir plusieurs clés permet effectivement de limiter certains risques de pertes "totale" d'accès qui pourraient être liées à la disparition d'un des détenteurs et ce n'est absolument pas l'abandon de toute protection.
Mon analogie est parfaitement pertinente et en conformité avec les bons usages de la sécurité informatique : un mot de passe *doit* rester parfaitement personnel (pourquoi crois-tu, par exemple, que le mot de passe 'root' que plusieurs personnes connaissaient a disparu de Mac OS X... comme de la plupart des unix modernes ?).
Si tu ne comprends pas pourquoi, essaye au moins de faire confiance à ceux qui ont réfléchi à la question.
De toute façon, la gestion des droits de tout Unix même moderne est une calamité. La meilleure gestion que je n'ai jamais vue est la gestion des privilèges par un truc qui s'appelle OpenVMS. Un utilisateur a une liste de droits assignées par l'utilisateur 'system' et il peut élever ou baisser ses droits en fonction de ses besoins dans les limites fixées. Et ça permet de gérer finement les droits tout en sachant exactement quel utilisateur qui avait le droit de modifier SYS$SYSTEM:VMSTARTUP.COM a mis le système par terre.
JKB
-- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr
Le Thu, 11 Oct 2012 13:28:55 +0200,
Paul Gaborit <Paul.Gaborit@invalid.invalid> écrivait :
À (at) Thu, 11 Oct 2012 11:34:41 +0200,
Gerald@alussinan.org (Gerald) écrivait (wrote):
Paul Gaborit <Paul.Gaborit@invalid.invalid> wrote:
Un mot de passe, c'est comme une capote : si on le partage, il n'y a
plus de protection.
Se méfier des analogies. Tu as bien plusieurs clés à ton appartement,
réparties entre les différents membres de ta famille ou utilisateurs
éventuels. Certes ça démultiplie de fait les risques de vols de clés, de
pertes, de copie éventuelle par une femme de ménage indélicate, mais ça
ne remet pas en cause la qualité de ta serrure ni de la protection
qu'elle offre "en soi". L'analogie resterait pertinente avec des clés de
voiture (ou un système d'anti-démarrage "x"). Avoir plusieurs clés
permet effectivement de limiter certains risques de pertes "totale"
d'accès qui pourraient être liées à la disparition d'un des détenteurs
et ce n'est absolument pas l'abandon de toute protection.
Mon analogie est parfaitement pertinente et en conformité avec les bons
usages de la sécurité informatique : un mot de passe *doit* rester
parfaitement personnel (pourquoi crois-tu, par exemple, que le mot de
passe 'root' que plusieurs personnes connaissaient a disparu de Mac
OS X... comme de la plupart des unix modernes ?).
Si tu ne comprends pas pourquoi, essaye au moins de faire confiance à
ceux qui ont réfléchi à la question.
De toute façon, la gestion des droits de tout Unix même moderne est
une calamité. La meilleure gestion que je n'ai jamais vue est la
gestion des privilèges par un truc qui s'appelle OpenVMS. Un
utilisateur a une liste de droits assignées par l'utilisateur
'system' et il peut élever ou baisser ses droits en fonction de ses
besoins dans les limites fixées. Et ça permet de gérer finement les
droits tout en sachant exactement quel utilisateur qui avait le
droit de modifier SYS$SYSTEM:VMSTARTUP.COM a mis le système par
terre.
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
Le Thu, 11 Oct 2012 13:28:55 +0200, Paul Gaborit écrivait :
À (at) Thu, 11 Oct 2012 11:34:41 +0200, (Gerald) écrivait (wrote):
Paul Gaborit wrote:
Un mot de passe, c'est comme une capote : si on le partage, il n'y a plus de protection.
Se méfier des analogies. Tu as bien plusieurs clés à ton appartement, réparties entre les différents membres de ta famille ou utilisateurs éventuels. Certes ça démultiplie de fait les risques de vols de clés, de pertes, de copie éventuelle par une femme de ménage indélicate, mais ça ne remet pas en cause la qualité de ta serrure ni de la protection qu'elle offre "en soi". L'analogie resterait pertinente avec des clés de voiture (ou un système d'anti-démarrage "x"). Avoir plusieurs clés permet effectivement de limiter certains risques de pertes "totale" d'accès qui pourraient être liées à la disparition d'un des détenteurs et ce n'est absolument pas l'abandon de toute protection.
Mon analogie est parfaitement pertinente et en conformité avec les bons usages de la sécurité informatique : un mot de passe *doit* rester parfaitement personnel (pourquoi crois-tu, par exemple, que le mot de passe 'root' que plusieurs personnes connaissaient a disparu de Mac OS X... comme de la plupart des unix modernes ?).
Si tu ne comprends pas pourquoi, essaye au moins de faire confiance à ceux qui ont réfléchi à la question.
De toute façon, la gestion des droits de tout Unix même moderne est une calamité. La meilleure gestion que je n'ai jamais vue est la gestion des privilèges par un truc qui s'appelle OpenVMS. Un utilisateur a une liste de droits assignées par l'utilisateur 'system' et il peut élever ou baisser ses droits en fonction de ses besoins dans les limites fixées. Et ça permet de gérer finement les droits tout en sachant exactement quel utilisateur qui avait le droit de modifier SYS$SYSTEM:VMSTARTUP.COM a mis le système par terre.
JKB
-- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr
Lionel Mychkine
In article <1krsmd8.53cvpan6oit4N%, (Gerald) wrote:
mha : pour les sauvegardes "incrémentales" TimeMachine semble très largement apprécié par la communauté Mac.
Afin de ne pas mourir idiot, j'ai activé Time Machine sur une des partitions de mon disque dur externe, en demandant le chiffrement de celle-ci. Résultat, la partition s'est mystérieusement transformée en disque tout en préservant les partitions existantes. Par contre, la partition que j'avais attribué à Time Machine est devenu invisible. J'en suis resté baba.
Impossible de reformater ce pseudo disque avec Utilitaire de disque, l'option a disparu. Impossible aussi de déverrouiller le disque. Il a fallu que je passe par le terminal et que je fasse appel à diskutil pour le réinitialiser...
-- Lionel Mychkine
In article <1krsmd8.53cvpan6oit4N%Gerald@alussinan.org>,
Gerald@alussinan.org (Gerald) wrote:
mha : pour les sauvegardes "incrémentales" TimeMachine semble très
largement apprécié par la communauté Mac.
Afin de ne pas mourir idiot, j'ai activé Time Machine sur une des
partitions de mon disque dur externe, en demandant le chiffrement de
celle-ci. Résultat, la partition s'est mystérieusement transformée en
disque tout en préservant les partitions existantes. Par contre, la
partition que j'avais attribué à Time Machine est devenu invisible. J'en
suis resté baba.
Impossible de reformater ce pseudo disque avec Utilitaire de disque,
l'option a disparu. Impossible aussi de déverrouiller le disque. Il a
fallu que je passe par le terminal et que je fasse appel à diskutil pour
le réinitialiser...
In article <1krsmd8.53cvpan6oit4N%, (Gerald) wrote:
mha : pour les sauvegardes "incrémentales" TimeMachine semble très largement apprécié par la communauté Mac.
Afin de ne pas mourir idiot, j'ai activé Time Machine sur une des partitions de mon disque dur externe, en demandant le chiffrement de celle-ci. Résultat, la partition s'est mystérieusement transformée en disque tout en préservant les partitions existantes. Par contre, la partition que j'avais attribué à Time Machine est devenu invisible. J'en suis resté baba.
Impossible de reformater ce pseudo disque avec Utilitaire de disque, l'option a disparu. Impossible aussi de déverrouiller le disque. Il a fallu que je passe par le terminal et que je fasse appel à diskutil pour le réinitialiser...
-- Lionel Mychkine
Paul Gaborit
À (at) Thu, 11 Oct 2012 12:16:46 +0000 (UTC), JKB écrivait (wrote):
De toute façon, la gestion des droits de tout Unix même moderne est une calamité.
Ça c'est une autre partie du problème qui n'a de sens qu'une fois qu'on a authentifié l'utilisateur.
Je nuancerai le mot "calamité"... mais c'est vrai que que la gestion générale des droits n'est pas très fine (que ce soit dans MacOS X, Li nux ou n'importe quel *BSD) : en gros, soit je n'ai que les droits d'un simple utilisateur, soit j'ai tous les droits.
Avec 'sudo', on ajoute quelques nuances mais dont le système ne peut pas garantir l'étanchéité (il faut s'assurer que les commandes auxquelles on donne accès n'offre pas l'accès à trop de choses).
Windows (et OpenVMS d'après ce que tu dis mais je n'ai pratiqué que le VMS d'il y a très très longtemps) offrent une granularité bien plus fine. Mais, en tous cas sur Windows, cela devient très vite un bordel monstre où les administrateurs ne savent plus vraiment quels droits accordés pour autoriser telle ou telle tâche à tel ou tel utilisateur.
La simplicité à ses limites mais, au moins, elle permet de faire en sorte qu'on ouvre pas de des portes sans s'en rendre compte. J'ai l'impression que c'est le choix actuel des Unix (n'oublions pas que ces droits sont orthogonaux aux droits sur les fichiers qui offrent déjà pas de choses).
-- Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
À (at) Thu, 11 Oct 2012 12:16:46 +0000 (UTC),
JKB <jkb@koenigsberg.invalid> écrivait (wrote):
De toute façon, la gestion des droits de tout Unix même moderne est
une calamité.
Ça c'est une autre partie du problème qui n'a de sens qu'une fois qu'on
a authentifié l'utilisateur.
Je nuancerai le mot "calamité"... mais c'est vrai que que la gestion
générale des droits n'est pas très fine (que ce soit dans MacOS X, Li nux
ou n'importe quel *BSD) : en gros, soit je n'ai que les droits d'un
simple utilisateur, soit j'ai tous les droits.
Avec 'sudo', on ajoute quelques nuances mais dont le système ne peut pas
garantir l'étanchéité (il faut s'assurer que les commandes auxquelles on
donne accès n'offre pas l'accès à trop de choses).
Windows (et OpenVMS d'après ce que tu dis mais je n'ai pratiqué que le
VMS d'il y a très très longtemps) offrent une granularité bien plus
fine. Mais, en tous cas sur Windows, cela devient très vite un bordel
monstre où les administrateurs ne savent plus vraiment quels droits
accordés pour autoriser telle ou telle tâche à tel ou tel utilisateur.
La simplicité à ses limites mais, au moins, elle permet de faire en
sorte qu'on ouvre pas de des portes sans s'en rendre compte. J'ai
l'impression que c'est le choix actuel des Unix (n'oublions pas que ces
droits sont orthogonaux aux droits sur les fichiers qui offrent déjà pas
de choses).
--
Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
À (at) Thu, 11 Oct 2012 12:16:46 +0000 (UTC), JKB écrivait (wrote):
De toute façon, la gestion des droits de tout Unix même moderne est une calamité.
Ça c'est une autre partie du problème qui n'a de sens qu'une fois qu'on a authentifié l'utilisateur.
Je nuancerai le mot "calamité"... mais c'est vrai que que la gestion générale des droits n'est pas très fine (que ce soit dans MacOS X, Li nux ou n'importe quel *BSD) : en gros, soit je n'ai que les droits d'un simple utilisateur, soit j'ai tous les droits.
Avec 'sudo', on ajoute quelques nuances mais dont le système ne peut pas garantir l'étanchéité (il faut s'assurer que les commandes auxquelles on donne accès n'offre pas l'accès à trop de choses).
Windows (et OpenVMS d'après ce que tu dis mais je n'ai pratiqué que le VMS d'il y a très très longtemps) offrent une granularité bien plus fine. Mais, en tous cas sur Windows, cela devient très vite un bordel monstre où les administrateurs ne savent plus vraiment quels droits accordés pour autoriser telle ou telle tâche à tel ou tel utilisateur.
La simplicité à ses limites mais, au moins, elle permet de faire en sorte qu'on ouvre pas de des portes sans s'en rendre compte. J'ai l'impression que c'est le choix actuel des Unix (n'oublions pas que ces droits sont orthogonaux aux droits sur les fichiers qui offrent déjà pas de choses).
-- Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
